JP2004253968A - Authentication method for ip multicast and authentication system for ip multicast employing same, and program and recording medium therefor - Google Patents

Authentication method for ip multicast and authentication system for ip multicast employing same, and program and recording medium therefor Download PDF

Info

Publication number
JP2004253968A
JP2004253968A JP2003040870A JP2003040870A JP2004253968A JP 2004253968 A JP2004253968 A JP 2004253968A JP 2003040870 A JP2003040870 A JP 2003040870A JP 2003040870 A JP2003040870 A JP 2003040870A JP 2004253968 A JP2004253968 A JP 2004253968A
Authority
JP
Japan
Prior art keywords
group
user
authentication
group list
list
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003040870A
Other languages
Japanese (ja)
Inventor
Hiroaki Sato
裕昭 佐藤
Hiromitsu Nagata
広充 永田
Takahiro Oishi
崇裕 大石
Masaru Takahashi
賢 高橋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2003040870A priority Critical patent/JP2004253968A/en
Publication of JP2004253968A publication Critical patent/JP2004253968A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide an IP multicast authentication method which enables authentication of whether a contract is made, i.e. whether IP multicasting can be received, to manage a group list on the initiative of an IP network side, and also to provide an IP multicast authentication system using the same. <P>SOLUTION: An IP multicast authentication system for realizing the IP multicast authentication method is equipped with a user authentication server 3 equipped with the user authentication method, a customer data server 4 equipped with a user data managing means, a router control server 1 equipped with a router control means, a user accommodation router 2, and a group managing server 6 equipped with a group managing means at need. <P>COPYRIGHT: (C)2004,JPO&NCIPI

Description

【0001】
【発明の属する技術分野】
本発明は、IPパケット通信網において、IPパケットをIPパケット網にて複製し、複数の宛先に同一IPパケットを配信するIPマルチキャストのメンバに参加するときの認証に用いられるIPマルチキャスト用認証方法および、これを用いるIPマルチキャスト用認証システム、ならびにそのプログラムと記録媒体に関する。
【0002】
【従来の技術】
従来のIPマルチキャスト用認証方法(例えば、特願2002−154018号明細書および図面参照)(以下、方法[1]と記す)の装置接続構成は、図13に示すように、ルータ1とルータ制御機能を備えるウェブサーバ2と、ユーザ認証機能を備えた認証サーバ3と、グループリストを登録しておく顧客データサーバ4とを用いる。
【0003】
従来のIPマルチキャスト用認証方法[1]の動作は、図14に示すように、マルチキャスト配信に先立って、クライアント端末5が、ウェブサーバ2を経由して、認証サーバ3に認証要求し、認証サーバ3が、ユーザを認証し、ウェブサーバ2は、認証サーバが許可したユーザのグループリストを、顧客データサーバ4から読み出して、ルータ1のグループリストテーブル設定する。
【0004】
ルータ1は、クライアント端末5からのIGMP(Internet Group Management Protocol) Membership Report(マルチキャスト配信開始要求)受信時に、要求されたグループアドレスが、グループリストにあれば、マルチキャスト転送し、要求されたグループアドレスが、グループリストになければ、マルチキャスト転送しない。および、クライアント端末5からの終了(マルチキャスト配信停止)要求時、あるいは、IGMPにより視聴継続が確認できないときに、グループリストを削除する。
【0005】
【発明が解決しようとする課題】
しかしながら、前述のような、従来のIPマルチキャスト用認証方法[1]では、認証がマルチキャスト配信要求時のみ実施され、一度認証されれば、永久に配信が許可されたことになる。更に、グループリストの削除はユーザ側主導で、ユーザの終了時のみである。すなわち、IPネットワーク側主導でグループリストを削除できず、ユーザが一旦認証されて、マルチキャスト配信を継続し続ければ、契約解除後も不正受信できてしまうという問題がある。
【0006】
また、IPネットワークが、コンテンツ(グループ)毎に有効期間を変えるような時間限定サービスや、時間限定の料金変更サービスが提供できない。ユーザ毎に有効期間を変えて、視聴できるようなサービスといった付加価値サービスが提供できないという問題がある。
【0007】
そこで、本発明の目的は、上記のような問題を解消し、IPマルチキャストにおいて、契約しているかいないか、すなわち受信していいかどうかの認証を可能とし、グループリストの管理をIPネットワーク側主導にもできるようにするIPマルチキャスト用認証方法、およびそれを用いるIPマルチキャスト用認証システム、ならびにそのプログラムと記録媒体を提供することにある。
【0008】
【課題を解決するための手段】
上記目的を達成するため、本発明のIPネットワークにおけるIPマルチキャスト用認証方法は、ルータ制御手段が、IPネットワークにおけるユーザ認証手段と、ユーザ識別子、ユーザ端末が受信可能なグループアドレスのあるグループリスト、およびユーザの収容位置を記録しておくユーザデータ管理手段と、およびユーザ収容ルータに直接あるいは通信により遠隔に接続され、該ルータ制御手段が、前記グループリストの有効期限を監視するグループリストタイマを該グループリスト毎に備え、前記ユーザ収容ルータに該グループリストを設定する時に、予め定めた有効期間にて該グループリリストタイマを起動し、該グループリストタイマが該有効期間を経過したなら、該ユーザ収容ルータの該グループリストを削除し、前記ユーザにマルチキャスト配信中であれば停止することを特徴とする(請求項1に記載)。
【0009】
また、IPマルチキャスト用認証方法は、ユーザ毎に予め有効期間を定めておき、前記ユーザデータ管理手段が、前記ユーザ識別子と該ユーザ識別子に対する有効期間を登録しておき、前記ルータ制御手段が、該ユーザデータ管理手段からグループリストを取得するときに、同時に該ユーザ毎の有効期間も取得し、該グループリストの有効期限を監視するグループリストタイマに該有効期間を設定することを特徴とする(請求項2に記載)。
【0010】
また、IPマルチキャスト用認証方法は、前記IPネットワークが、グループ毎あるいはグループ群毎の有効期間を登録しておき、かつ前記ルータ制御手段に直接あるいは通信により遠隔に接続されたグループ管理手段を有し、該IPネットワークが、予めグループ毎あるいはグループ群毎の有効期間を定めて、該グループ管理手段に登録しておき、前記ルータ制御手段が、前記グループリストタイマを起動する際に、該グループ管理手段から設定する前記グループリストに含まれる全グループの有効期間を取得し、取得した有効期間のうち最小値を該グループリストタイマに設定することを特徴とする(請求項3に記載)。
【0011】
また、IPマルチキャスト用認証方法は、前記ルータ制御手段が、前記グループリストタイマを起動する際に、設定するグループリストに含まれる全グループの有効期間を取得し、該グループリスト毎ではなく、該有効期間が同一のグループ毎あるいはグループ群毎に別々のグループタイマを起動し、いずれのグループリストタイマが該有効期間を経過したなら、該グループリストから該有効期間を経過したグループあるいはグループ群のみを削除し、ユーザ端末に対し、該有効期間を経過したグループあるいはグループ群がマルチキャスト配信中であれば停止する
ことを特徴とする(請求項4に記載)。
【0012】
また、IPマルチキャスト用認証方法は、前記ルータ制御手段が、前記グループタイマリストを前記ユーザ識別子毎に管理し、認証許可時にグループの有効期間をユーザに通知し、認証許可を受信したら、該ユーザの該グループリストタイマが動作中であれば、該ユー端末に対応した該グループリストタイマを更新し、該ユーザ端末が、通知された有効期間より短い時間内に、認証要求を前記ユーザ認証手段に送信し、該ユーザ認証手段が、認証許可した場合、認証許可したユーザ識別子を明記した認証許可通知を該ルータ制御手段に送信することを特徴とする(請求項5に記載)。
【0013】
また、IPマルチキャスト認証方法は、前記ルータ制御手段が、前記グループリストタイマをユーザ識別子毎かつグループ毎あるいはグループ群毎に管理し、認証許可時にグループアドレスとグループの有効期間の全組み合わせをユーザ端末に通知し、認証許可通知されたグループあるいはグループ群のグループタイマリストが動作中であれば、該グループリストタイマを更新し、該ユーザ端末が、各グループあるいは各グループ群の有効期間より短い時間内に、認証を要求するグループあるいはグループ群を明記した認証要求をユーザ認証手段に送信し、該ユーザ認証手段が、認証許可した場合、認証許可したユーザ識別子とグループアドレスあるいはグループアドレス群を該ルータ制御手段に対し送信することを特徴とする(請求項6に記載)。
【0014】
また、IPマルチキャスト認証方法は、前記ルータ制御手段が、前記グループリストタイマに加えて、グループリストタイマ毎にグループリスト保留タイマと、前記ユーザ収容ルータを経由して、あるいは、前記ユーザ認証手段を経由して、ユーザに配信継続確認する手段とを有し、該ルータ制御手段が、該グループタイマリストがタイムアウトしたなら、ただちには前記グループリストを削除せず、予め定めた時間を設定した該グループリスト保留タイマを起動し、直接、あるいは認証サーバを経由して、あるいは該ユーザ収容ルータを経由して、該グループリストの対象であるユーザに対し配信継続確認を送信し、配信継続確認を受信したユーザ端末は、マルチキャスト配信継続を希望する場合には、該ユーザ認証手段に認証要求し、認証許可を通知された時に、継続確認したユーザであれば、該ユーザの該グループリストタイマを起動し、該グループリスト保留タイマがタイムアウトしたら、タイムアウトした該グループリストを削除する、あるいは、該グループリストからタイムアウトしたグループあるいはグループ群を削除し、該ユーザ認証手段が、認証許可した時に、該ルータ制御手段に対し該ユーザの認証許可を通知することを特徴とする(請求項7に記載)。
【0015】
また、IPマルチキャスト用認証方法を実現するためのIPマルチキャスト用認証システムは、ユーザ認証手段を備えるユーザ認証サーバと、ユーザデータ管理手段を備える顧客データサーバと、ルータ制御手段を備えるルータ制御サーバと、ユーザ収容ルータと、必要であれば、グループ管理手段を備えるグループ管理サーバとを有し、該ルータ制御サーバが、ユーザが受信可能なグループアドレスのあるグループリストの有効期限を監視するグループリストタイマを用いて、該グループリストの有効期間を監視し、該グループリストの有効期間が終了したら、該ユーザ収容ルータに設定した該グループリストを削除し、および、ユーザの配信継続を監視し、該グループタイマリストを更新することを特徴とする(請求項8に記載)。
【0016】
【発明の実施の形態】
本発明の実施例を、図面により詳細に説明する。
【0017】
(実施例1)
本発明の実施例1を、図1の構成と、図2の動作例を用いて説明する。
本実施例は、図1に示すように、ルータ制御機能を備えるルータ制御サーバ1と、ユーザ収容ルータ2と、ユーザ認証機能を備える認証サーバ3と、グループリスト管理機能を備える顧客データサーバ4と、ユーザのクライアント端末5とから構成される。ルータ制御サーバ1には、グループリストタイマ11が配備されており、ユーザ収容ルータ2にはグループリストテーブル12が配置されており、顧客データサーバ4には顧客データテーブル13が配備されている。
【0018】
グループタイマリスト11はユーザ毎に動作する。グループリストテーブル12の構成は、従来のIPマルチキャスト用認証方法[1]と同様である。顧客データテーブル13の構成は、従来のIPマルチキャスト用認証方法[1]と同様である。
ルータ制御サーバ1とユーザ収容ルータ2、および認証サーバ3、および顧客データサーバ4は、直接あるいはルータなどを経由して遠隔に接続されており、クライアント端末5はユーザ収容ルータ2に直接あるいはレイヤ2転送装置などを経由して遠隔に接続されている。
【0019】
次に、図2を用いて、本発明の実施例1の動作を説明する。
ユーザ収容ルータ2は、デフォルト設定で、グループリストにないグループの配信要求があっても、当該グループを配信しない(201)。
ユーザは、マルチキャスト配信を要求する場合、配信要求に先立って、クライアント端末5から、ユーザ識別子と認証情報を添付した認証要求を送信する。認証方法は本発明を限定するものではなく、パスワードでも、暗号化された身分証明でも、他の方法でもよい。
【0020】
認証要求を受信した認証サーバ3は、認証許可した場合、ルータ制御サーバ1に対し、ユーザ識別子を明記した認証許可を送信する(203)。
認証許可を受信したルータ制御サーバ1は、顧客データサーバ4に対し、ユーザ識別子を明記したグループリスト要求を送信し、当該ユーザ識別子に対する、ユーザ収容位置とグループリストを取得する。
【0021】
顧客データサーバ4には、予め、ユーザ識別子をキイ情報にしたユーザ収容位置と、当該ユーザに対して配信を許可するマルチキャストグループのリストを登録しておく(202)。ユーザ収容位置とは、当該ユーザを収容するルータおよびルータのポートを特定することができる識別子であり、例えば、ルータのIPアドレスと、物理的あるいは論理的な番号である。しかし、ユーザ収容位置情報の構成は、本発明を限定するものではない。
【0022】
グループリスト設定を完了したルータ制御サーバ1は(205)、クライアント端末5に対し、認証サーバ3を経由して、グループリスト設定完了、すなわち認証許可を通知するとともに、当該グループリストに対するグループリストタイマを起動する(206)。
グループリストタイマのタイムアウト時間は、予め定めた有効期間を設定する。この有効期間は、グループ毎に異なっても、同一であってもよいし、ユーザ識別子毎に異なっても、同一であってもよい。
【0023】
認証許可を受信したクライアント端末5は、IGMP(Internet Group Management Protocol)を用いて、ユーザ収容ルータ2に対し、要求するグループを明示した配信要求を送信し、配信要求を受信したユーザ収容ルータ2は、グループリスト12に、当該グループが記載されている場合に限り、当該グループをマルチキャスト配信する(207)。
【0024】
ルータ制御サーバ1は、グループリストタイマ11がタイムアウトしたら、ユーザ収容ルータ2の当該グループリスト12を削除する(208)。
グループリスト削除を受信したユーザ収容ルータ2は、当該グループリスト12を削除するとともに(209)、当該ユーザに対するマルチキャスト配信を停止する(210)。
【0025】
(実施例2)
本発明の実施例2を、図3の動作例図を用いて説明する。装置構成は図1と同様である。
図3を用いて動作例を説明する。
【0026】
顧客データサーバ4には、予め、ユーザ識別子をキイ情報にしたユーザ収容位置と、当該ユーザに対して配信を許可するマルチキャストグループのリストと、当該ユーザに対するグループリストの有効期間とを登録しておく(302)。
ユーザは、マルチキャスト配信を要求する場合、配信要求に先立って、クライアント端末5から、ユーザ識別子と認証情報を添付した認証要求を送信する。認証方法は本発明を限定するものではない。
【0027】
認証要求を受信した認証サーバ3は、認証許可した場合、ルータ制御サーバ1に対し、ユーザ識別子を明記した認証許可を送信する(303)。
認証許可を受信したルータ制御サーバ1は、顧客データサーバ4に対し、ユーザ識別子を明記したグループリスト要求を送信し、当該ユーザ識別子に対する、ユーザ収容位置とグループリストと有効期間を取得する。ユーザ収容位置情報の構成は、本発明を限定するものではない。
【0028】
グループリストと有効期間を受信したルータ制御サーバ1は、ユーザ収容位置とグループリストに基づき、ユーザ収容ルータ2に、グループリストを設定する(304)。
グループリスト設定を完了したルータ制御サーバ1は(305)、当該グループに対するグループリストタイマに、顧客データサーバ4から取得した有効期間を設定し、起動する(306)。
グループリストタイマ起動後の動作は、図2に示す実施例1と同様である。
【0029】
(実施例3)
本発明の実施例3を、図4の装置構成例図と、図5のグループデータテーブル構成例と、図6の動作例を用いて説明する。
本実施例は、図4に示すように、ルータ制御機能を備えるルータ制御サーバ1と、ユーザ収容ルータ2と、ユーザ認証機能を備える認証サーバ3と、グループリスト管理機能を備える顧客データサーバ4と、ユーザのクライアント端末5と、グループデータサーバ6から構成される。ルータ制御サーバ1には、グループリストタイマ11が配備されており、ユーザ収容ルータ2にはグループリストテーブル12が配置されており、顧客データサーバ4には顧客データテーブル13が配備されており、グループデータサーバ6にはグループデータテーブル14が配備されている。
【0030】
グループデータテーブル14の構成例を図5に示す。
グループテーブルは、グループアドレスと有効期間とから構成される。図5において、グループアドレスは、単一アドレス指定とアドレス範囲指定を示しているがどちらでも良い。また、図5において、有効期間は時間単位で示しているが、秒単位でも分単位などでも良く、有効期間の単位は本発明を限定するものではない。
【0031】
次に、図6を用いて動作例を説明する。
ユーザは、マルチキャスト配信を要求する場合、配信要求に先立って、クライアント端末5から、ユーザ識別子と認証情報を添付した認証要求を送信する。認証方法は本発明を限定するものはなく、パスワードでも、暗号化された身分証明でも、他の方法でも良い。
【0032】
認証要求を受信した認証サーバ3は、認証許可した場合、ルータ制御サーバ1に対し、ユーザ識別子を明記した認証許可を送信する(604)。
認証許可を受信したルータ制御サーバ1は、顧客データサーバ4に対し、ユーザ識別子を明記したグループリスト要求を送信し、当該ユーザ識別子に対する、ユーザ収容位置とグループリストを取得する。
グループリストを取得したルータ制御サーバ1は、グループリストデータサーバ6に、グループの有効期間を要求する。
【0033】
グループデータサーバ6には、予め、グループ毎、あるいはグループ群毎の有効期間を登録しておき(603)、グループあるいはグループリストに対する有効期間要求を受信したなら、当該グループ、あるいはグループ群の有効期間を全て通知する。
有効期間を受信したルータ制御サーバ1は、ユーザ収容ルータにグループリストを設定し(605)、グループデータサーバ6より通知された有効期間のうち最小値をグループリストタイマに設定する。
【0034】
このとき、ユーザ収容ルータに対するグループリスト設定と、グループデータサーバ6に対する有効期間要求に順序性はなく、ルータ制御サーバ1は、同時に行っても良い。この場合、ルータ制御サーバ1は、正常なグループリスト設定応答があり(606)、かつ正常な有効期間応答がある場合のみ、グループリストタイマを起動する(607)。
グループタイマリスト起動後の動作は、図2に示す実施例1と同様である。
【0035】
(実施例4)
本発明の実施例4を、図7の動作例図を用いて説明する。
グループリストタイマ起動までの動作は、図6に示す実施例3の動作と同様である。ただし、グループリストタイマ11は、ユーザ収容ルータ2に設定するグループリスト12のうち、有効期間が同一のグループ毎あるいはグループ群毎に別々のグループタイマ11を起動する。
例えばグループリストにグループAとグループBの2つのグループが含まれているとする。ただし、このグループ数は本発明の説明を明確化するためのものであり、グループ数は本発明を限定するものではない。グループAの有効期間(703)とグループBの有効期間(707)が異なる場合、グループリストタイマはグループA用とグループB用の2つのタイマを起動する(702)。
【0036】
グループAのタイマがタイムアウトしたら(705)、ルータ制御サーバ1は、ユーザ収容ルータ2に対し、ユーザ収容位置を示したグループAの削除メッセージを送信する。
グループAの削除メッセージを受信したユーザ収容ルータ2は、当該ユーザ収容位置に設定したグループリストからグループAを削除し、グループAが配信中であれば、配信を停止し、ルータ制御サーバ1に対し削除完了を応答する(706)。
【0037】
更に、グループBのタイマがタイムアウトしたら(708)、ルータ制御サーバ1は、ユーザ収容ルータ2に対し、ユーザ収容位置を示したグループBの削除メッセージを送信する。
グループBの削除メッセージを受信したユーザ収容ルータ2は、当該ユーザ収容位置に設定したグループリストからグループBを削除、すなわちグループリスト自体を削除し、グループBが配信中であれば、配信を停止し、ルータ制御1に対し削除完了を応答する(709)。
【0038】
(実施例5)
本発明の実施例5を、図8のグループリストタイマ構成例図と図9の動作例図を用いて説明する。
グループリストタイマをユーザ識別子毎に管理する場合のグループリストタイマ構成例を、図8の構成例1に示す。また、グループリストタイマをユーザ識別子毎かつグループ毎あるいはグループ群毎に管理する場合のグループリストタイマ構成例を、図8の構成例2に示す。ただし、ユーザ識別子を説明の明確化のため数字で示しているが、ユーザ識別子の表示法は本発明を限定するものではなく、文字数字などの任意の組み合わせが使用可能である。また、グループリストタイマを時間単位で示しているが、本発明を制限するものではなく、単位は秒単位、分単位など任意の単位の使用が可能である。
【0039】
次に、図9を用いて、本発明の実施例5を説明する。
グループリスト設定までの動作は、図2に示す実施例1あるいは図6に示す実施例3の動作と同様である。
グループリストを設定したルータ制御サーバ1は、グループリストタイマを起動し(901)、有効期間を明記したグループリスト設定完了を認証サーバ3に送信する。
クライアント端末5に認証許可を送信する認証サーバ3は、ルータ制御サーバ1から通知された有効期間(902)を認証許可に明記する。
有効期間を通知されたクライアント端末5は、有効期間より短い時間後に、認証サーバ3に対して、認証要求を送信する。
【0040】
クライアント端末5から認証要求を受信した認証サーバ3は、認証許可した場合、ルータ制御サーバ1にユーザ識別子を明記した認証許可を送信する(905)。
認証サーバ3から認証許可を受信したルータ制御サーバ1は(907)、当該ユーザ識別子のグループリストタイマが動作中であれば、グループリストタイマを更新し(906)、有効期間(903)を明記したグループリスト設定完了を認証サーバ3に送信する。
【0041】
クライアント端末5に認証許可を送信する認証サーバ3は、ルータ制御サーバ1から通知された有効期間を認証許可に明記する。
あるいは、クライアント端末5が、認証要求しなければ、ルータ制御サーバ1にて、グループリストタイマが更新されず、実施例1の動作にて、当該グループリストが削除され、当該ユーザに対するマルチキャスト配信が停止する。
【0042】
(実施例6)
本発明の実施例6を、図10の動作例図を用いて説明する。グループリストタイマ構成例は図8の構成例2と同様である。
グループリスト設定までの動作は、図6に示す実施例3の動作と同様である。
【0043】
グループリストを設定したルータ制御サーバ1は、グループ毎あるいはグループ群毎のグループリストタイマを起動し(1001)、グループあるいはグループ群と有効期間を明記したグループリスト設定完了を認証サーバ3に送信する。
クライアント端末5に認証許可を送信する認証サーバ3は、ルータ制御サーバ1から通知されたグループ毎あるいはグループ群毎の有効期間(1002)を認証許可に明記する。
有効期間を通知されたクライアント端末5は、有効期間より短い時間後に、認証サーバに対して、グループあるいはグループ群を明記した認証要求を送信する。このとき、クライアント端末5は、グループ毎あるいはグループ群毎に認証要求を送信してもよいし、1認証要求に複数のグループあるいはグループ群を明記し、一括で認証要求してもよい。
【0044】
クライアント端末5から認証要求を受信した認証サーバ3は、認証許可した場合(1004)、ルータ制御サーバ1にユーザ識別子およびグループあるいはグループ群を明記した認証許可を送信する。
認証サーバ3から認証許可を受信したルータ制御サーバ1は、当該グループリストタイマが動作中であれば、当該グループリストタイマを更新し(1005)、グループ毎あるいはグループ群毎の有効期間を明記したグループリスト設定完了を認証サーバ3に送信する。
クライアント端末5に認証許可を送信する認証サーバ3は、ルータ制御サーバ1から通知されたグループ毎あるいはグループ群毎の有効期間を認証許可に明記する。
【0045】
グループリストが削除されるまで、このような動作を繰り返す。
あるいは、クライアント端末5が、認証要求しなければ、ルータ制御サーバ1にて、グループリストタイマが更新されず、実施例3の動作にて、当該グループがグループリストから削除され、当該ユーザに対する当該グループのマルチキャスト配信が停止する。
【0046】
(実施例7)
本発明の実施例7を、図11の動作例図1と図12の動作例図2を用いて説明する。
本発明の実施例7の動作は、グループリストタイマがタイムアウトするまでは、図2の実施例1の動作、あるいは、図6の実施例3の動作と同様である。
まず、グループリストが継続される場合の動作を、図11の動作例を用いて説明する。
【0047】
グループリストタイマがタイムアウトしたなら(1104)、ルータ制御サーバ1は、グループリスト保留タイマを起動するとともに(1105)、ユーザのクライアント端末5に対し、配信継続確認を送信する。配信継続確認は、ルータ制御サーバ1が直接送信しても、ユーザ収容ルータ2あるいは認証サーバ3に有効期間切れ通知を送信し、有効期間切れを受信したユーザ収容ルータ2あるいは認証サーバ3がクライアント端末5に配信継続確認を送信してもよい。
このとき、配信継続確認通知および有効期限切れ通知には、ユーザ識別子が明記され、更に、グループリストタイマがグループ毎あるいはグループ群毎に動作する場合は、タイムアウトしたグループあるいはグループ群が明記される。
【0048】
配信継続確認を受信したクライアント端末5は、配信の継続を希望する場合、認証サーバ3に認証要求を送信する。また、クライアント端末5は、認証要求にグループあるいはグループ群を明記しても良い。
クライアント端末5から認証要求を受信した認証サーバ3は認証許可したなら、ユーザ識別子を付与した認証許可をルータ制御サーバ1に通知する(1106)。また、認証サーバ3は認証要求にグループあるいはグループ群が明記されていた場合は、認証許可通知に認証許可したグループあるいはグループ群を明記する。
【0049】
ルータ制御サーバ1は、グループリスト保留タイマのタイムアウト前に、当該タイムアウトに関連するユーザの認証許可を受信した場合、グループリスト保留タイマを解除し(1107)、グループリストタイマを再起動する(1108)。
このとき、グループリストタイマがグループ毎あるいはグループ群毎に動作する場合で、かつ認証許可にグループあるいはグループ群が明記されていた場合、当該グループあるいはグループ群のタイマのみ再起動する。
【0050】
次に、グループリストを削除する場合、あるいはグループをグループリストから削除する場合の動作を、図12の動作例図2を用いて説明する。
クライアント端末5に配信継続確認を送信するまでは、図11の動作例1と同様である。
【0051】
ルータ制御サーバ1は、配信継続確認を送信したクライアント端末5に関する認証許可を受信せず、グループリスト保留タイマがタイムアウトした場合(1206)、タイムアウトしたグループリストをユーザ収容ルータ2から削除し(1207)、当該クライアント端末5に対してマルチキャスト配信中であれば、配信停止する。あるいは、グループリストタイマがグループ毎あるいはグループ群毎に動作する場合は、タイムアウトしたグループあるいはグループ群をグループリストから削除し、削除対象グループが、当該クライアント端末5に対してマルチキャスト配信中であれば、配信停止する(1208)。
【0052】
上述の実施形態において、その処理を行うプログラムをアプリケーションソフトとして、CD−ROM等の記録媒体に格納しておいてもよい。このようにすれば、CD−ROM等の可搬型記録媒体にプログラム等を格納して売買したり、携帯することができるようになる。
【0053】
【発明の効果】
本発明によれば、IPマルチキャストにおいて契約しているかいないか、すなわち受信していいかどうかの認証が可能となる。また、グループリストの管理をIPネットワーク側主導にもできるようになる。および、認証が高速であるため、テレビ視聴などの頻繁な接続切替に対応できるようになる。
【図面の簡単な説明】
【図1】本発明の実施例1の装置接続構成図である。
【図2】本発明の実施例1の動作例図である。
【図3】本発明の実施例2の動作例図である。
【図4】本発明の実施例3の装置接続構成図である。
【図5】本発明の実施例3のグループデータテーブル構成図である。
【図6】本発明の実施例3の動作例図である。
【図7】本発明の実施例4の動作例図である。
【図8】本発明の実施例5のグループリストタイマ構成例図である。
【図9】本発明の実施例5の動作例図である。
【図10】本発明の実施例6の動作例図である。
【図11】本発明の実施例7の動作例図1である。
【図12】本発明の実施例7の動作例図2である。
【図13】従来のIPマルチキャスト用認証方法の装置接続構成図である。
【図14】従来のIPマルチキャスト用認証方法の動作例図である。
【符号の説明】
1 ルータ制御サーバ
2 ユーザ収容ルータ
3 認証サーバ
4 顧客データサーバ
5 クライアント端末
11 グループリストタイマ
12 グループリストテーブル
13、41 顧客データテーブル
14 グループデータテーブル[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention provides an IP multicast authentication method used for authentication when an IP packet is duplicated in an IP packet network in an IP packet communication network and participates in an IP multicast member that distributes the same IP packet to a plurality of destinations. And an authentication system for IP multicast using the same, and a program and a recording medium thereof.
[0002]
[Prior art]
As shown in FIG. 13, a device connection configuration of a conventional authentication method for IP multicast (for example, refer to the specification and drawings of Japanese Patent Application No. 2002-154018) (hereinafter, referred to as method [1]) is as shown in FIG. A web server 2 having a function, an authentication server 3 having a user authentication function, and a customer data server 4 for registering a group list are used.
[0003]
As shown in FIG. 14, the operation of the conventional IP multicast authentication method [1] is as follows. Prior to multicast distribution, a client terminal 5 requests an authentication to an authentication server 3 via a web server 2, 3 authenticates the user, and the web server 2 reads the group list of the user permitted by the authentication server from the customer data server 4 and sets the group list table of the router 1.
[0004]
When the router 1 receives an IGMP (Internet Group Management Protocol) Membership Report (multicast distribution start request) from the client terminal 5, if the requested group address is in the group list, the router 1 performs multicast transfer and transmits the requested group address. If it is not in the group list, multicast transmission is not performed. When the end (multicast distribution stop) is requested from the client terminal 5 or when the continuation of viewing cannot be confirmed by IGMP, the group list is deleted.
[0005]
[Problems to be solved by the invention]
However, in the conventional IP multicast authentication method [1] as described above, authentication is performed only at the time of a multicast distribution request, and once authenticated, distribution is permanently permitted. Further, the deletion of the group list is led by the user side, and is performed only at the end of the user. That is, there is a problem that the group list cannot be deleted on the initiative of the IP network side, and if the user is once authenticated and continues the multicast distribution, unauthorized reception can be performed even after the contract is canceled.
[0006]
Further, the IP network cannot provide a time-limited service that changes the validity period for each content (group) or a time-limited charge change service. There is a problem that it is not possible to provide a value-added service such as a service that enables viewing by changing the validity period for each user.
[0007]
Therefore, an object of the present invention is to solve the above-mentioned problems, to enable authentication of whether or not a contract has been made, that is, whether or not to receive a signal in IP multicast, and to manage the group list with the initiative of the IP network side. An authentication method for IP multicast, an authentication system for IP multicast using the same, and a program and a recording medium thereof are provided.
[0008]
[Means for Solving the Problems]
In order to achieve the above object, an authentication method for IP multicast in an IP network according to the present invention is characterized in that the router control means includes a user authentication means in the IP network, a user identifier, a group list having a group address receivable by the user terminal, and User data management means for recording the accommodation position of the user, and a group list timer for monitoring the expiration date of the group list which is connected directly or remotely to the user accommodation router by the router control means. In preparation for each list, when the group list is set in the user accommodation router, the group list timer is started for a predetermined validity period, and if the group list timer has passed the validity period, the user accommodation Delete the group list of the router, the user Wherein the stop if in multicast distribution (claim 1).
[0009]
Further, in the IP multicast authentication method, a validity period is determined in advance for each user, the user data management means registers the user identifier and a validity period for the user identifier, and the router control means When the group list is obtained from the user data management means, the validity period for each user is also obtained at the same time, and the validity period is set in a group list timer for monitoring the validity period of the group list. Item 2).
[0010]
In the authentication method for IP multicast, the IP network may have a group management unit registered with a validity period for each group or each group group and connected to the router control unit directly or remotely by communication. The IP network determines in advance the validity period for each group or each group group and registers the validity period in the group management means, and when the router control means activates the group list timer, the group management means And acquiring the validity periods of all the groups included in the group list to be set, and setting a minimum value of the acquired validity periods in the group list timer (claim 3).
[0011]
Also, in the authentication method for IP multicast, when the router control means starts the group list timer, the router control means acquires the validity periods of all the groups included in the group list to be set, and obtains the validity period not for each group list. Activate a separate group timer for each group or group group with the same period, and if any group list timer has passed the valid period, delete only the group or group group whose valid period has passed from the group list If the group or the group of groups whose validity period has passed is being distributed by multicast to the user terminal, the operation is stopped.
It is characterized by the following (claim 4).
[0012]
Also, in the authentication method for IP multicast, the router control means manages the group timer list for each user identifier, notifies a user of a validity period of a group when authentication is permitted, and receives an authentication permission when the authentication permission is received. If the group list timer is in operation, the group list timer corresponding to the user terminal is updated, and the user terminal transmits an authentication request to the user authentication means within a shorter time than the notified validity period. When the user authentication means permits the authentication, the user authentication means transmits an authentication permission notice specifying the user identifier of the authorized user to the router control means (claim 5).
[0013]
Further, in the IP multicast authentication method, the router control means manages the group list timer for each user identifier and for each group or group, and when the authentication is permitted, all combinations of the group address and the validity period of the group are stored in the user terminal. Notify, if the group timer list of the group or group group for which the authentication permission has been notified is operating, the group list timer is updated, and the user terminal is notified within a time shorter than the validity period of each group or each group group. Sending an authentication request specifying a group or group of groups requesting authentication to the user authentication unit, and if the user authentication unit permits the authentication, the router control unit transmits the authenticated user identifier and the group address or the group address group. Is transmitted to (characterized in claim 6). Mounting).
[0014]
In the IP multicast authentication method, the router control means may include a group list hold timer for each group list timer and the user accommodating router in addition to the group list timer, or via the user authentication means. Means for confirming the continuation of distribution to the user, wherein the router control means does not immediately delete the group list if the group timer list times out, and sets the group list to a predetermined time. A user who starts a hold timer, transmits a distribution continuation confirmation to a user who is a target of the group list directly, or via an authentication server, or via the user accommodation router, and receives the distribution continuation confirmation. If the terminal wishes to continue the multicast distribution, the terminal makes an authentication request to the user authentication means and performs authentication. When notified of the permission, if the user has continuously confirmed, the user activates the group list timer, and if the group list hold timer times out, deletes the time-out group list or deletes the group list from the group list. A time-out group or group group is deleted, and when the user authentication means permits the authentication, the user authentication means notifies the router control means of the authentication permission of the user (claim 7).
[0015]
An authentication system for IP multicast for realizing an authentication method for IP multicast includes a user authentication server having user authentication means, a customer data server having user data management means, a router control server having router control means, A router for accommodating a user and, if necessary, a group management server having group management means, wherein the router control server includes a group list timer for monitoring the expiration date of a group list having a group address receivable by the user. Monitoring the validity period of the group list, and when the validity period of the group list expires, deletes the group list set in the user accommodating router, and monitors the continuation of user distribution, and monitors the group timer. The list is updated (claim 8).
[0016]
BEST MODE FOR CARRYING OUT THE INVENTION
Embodiments of the present invention will be described in detail with reference to the drawings.
[0017]
(Example 1)
First Embodiment A first embodiment of the present invention will be described using the configuration in FIG. 1 and the operation example in FIG.
In the present embodiment, as shown in FIG. 1, a router control server 1 having a router control function, a user accommodation router 2, an authentication server 3 having a user authentication function, a customer data server 4 having a group list management function, , And the user's client terminal 5. The router control server 1 is provided with a group list timer 11, the user accommodation router 2 is provided with a group list table 12, and the customer data server 4 is provided with a customer data table 13.
[0018]
The group timer list 11 operates for each user. The configuration of the group list table 12 is the same as that of the conventional IP multicast authentication method [1]. The configuration of the customer data table 13 is the same as that of the conventional authentication method for IP multicast [1].
The router control server 1, the user accommodation router 2, the authentication server 3, and the customer data server 4 are connected directly or remotely via a router or the like, and the client terminal 5 is connected directly to the user accommodation router 2 or to the layer 2 Remotely connected via a transfer device.
[0019]
Next, the operation of the first embodiment of the present invention will be described with reference to FIG.
In the default setting, the user accommodation router 2 does not distribute the group even if there is a distribution request for a group not in the group list (201).
When requesting multicast distribution, the user transmits an authentication request with a user identifier and authentication information attached from the client terminal 5 prior to the distribution request. The authentication method does not limit the present invention, and may be a password, an encrypted identification, or another method.
[0020]
When the authentication server 3 receives the authentication request and permits the authentication, the authentication server 3 transmits the authentication permission specifying the user identifier to the router control server 1 (203).
The router control server 1 having received the authentication permission transmits a group list request specifying the user identifier to the customer data server 4, and acquires the user accommodation position and the group list for the user identifier.
[0021]
In the customer data server 4, a user accommodating position with the user identifier as key information and a list of multicast groups permitted to distribute to the user are registered in advance (202). The user accommodation position is an identifier capable of specifying a router accommodating the user and a port of the router, and is, for example, an IP address of the router and a physical or logical number. However, the configuration of the user accommodation position information does not limit the present invention.
[0022]
The router control server 1 that has completed the group list setting (205) notifies the client terminal 5 via the authentication server 3 of the completion of the group list setting, that is, the authentication permission, and sets the group list timer for the group list. Activate (206).
As the timeout period of the group list timer, a predetermined valid period is set. The validity period may be different or the same for each group, or may be different or the same for each user identifier.
[0023]
The client terminal 5 that has received the authentication permission transmits a distribution request specifying the requested group to the user accommodation router 2 by using IGMP (Internet Group Management Protocol), and the user accommodation router 2 that has received the distribution request Only when the group is described in the group list 12, the group is multicast-distributed (207).
[0024]
When the group list timer 11 times out, the router control server 1 deletes the group list 12 of the user accommodation router 2 (208).
Upon receiving the group list deletion, the user accommodation router 2 deletes the group list 12 (209) and stops the multicast distribution to the user (210).
[0025]
(Example 2)
Second Embodiment A second embodiment of the present invention will be described with reference to the operation example of FIG. The device configuration is the same as in FIG.
An operation example will be described with reference to FIG.
[0026]
In the customer data server 4, a user accommodation position in which the user identifier is key information, a list of multicast groups permitted to distribute to the user, and a validity period of the group list for the user are registered in advance. (302).
When requesting multicast distribution, the user transmits an authentication request with a user identifier and authentication information attached from the client terminal 5 prior to the distribution request. The authentication method does not limit the present invention.
[0027]
When the authentication server 3 receives the authentication request and permits the authentication, the authentication server 3 transmits the authentication permission specifying the user identifier to the router control server 1 (303).
Upon receiving the authentication permission, the router control server 1 transmits a group list request specifying the user identifier to the customer data server 4, and acquires the user accommodation position, the group list, and the validity period for the user identifier. The configuration of the user accommodation position information does not limit the present invention.
[0028]
The router control server 1 that has received the group list and the validity period sets a group list in the user accommodation router 2 based on the user accommodation position and the group list (304).
After completing the group list setting (305), the router control server 1 sets the validity period acquired from the customer data server 4 in the group list timer for the group and starts (306).
The operation after the start of the group list timer is the same as in the first embodiment shown in FIG.
[0029]
(Example 3)
Third Embodiment A third embodiment of the present invention will be described with reference to an example of an apparatus configuration in FIG. 4, an example of a group data table configuration in FIG. 5, and an operation example in FIG.
In the present embodiment, as shown in FIG. 4, a router control server 1 having a router control function, a user accommodation router 2, an authentication server 3 having a user authentication function, and a customer data server 4 having a group list management function are provided. , A user client terminal 5 and a group data server 6. The router control server 1 is provided with a group list timer 11, the user accommodation router 2 is provided with a group list table 12, and the customer data server 4 is provided with a customer data table 13. The data server 6 is provided with a group data table 14.
[0030]
FIG. 5 shows a configuration example of the group data table 14.
The group table includes a group address and a validity period. In FIG. 5, the group address indicates a single address specification or an address range specification, but either may be used. In FIG. 5, the validity period is shown in units of time, but may be in seconds or minutes, and the unit of the validity period is not limited to the present invention.
[0031]
Next, an operation example will be described with reference to FIG.
When requesting multicast distribution, the user transmits an authentication request with a user identifier and authentication information attached from the client terminal 5 prior to the distribution request. The authentication method is not limited to the present invention, and may be a password, an encrypted identification, or another method.
[0032]
When the authentication server 3 receives the authentication request and permits the authentication, the authentication server 3 transmits the authentication permission specifying the user identifier to the router control server 1 (604).
The router control server 1 having received the authentication permission transmits a group list request specifying the user identifier to the customer data server 4, and acquires the user accommodation position and the group list for the user identifier.
The router control server 1 that has obtained the group list requests the group list data server 6 for the validity period of the group.
[0033]
The validity period of each group or group group is registered in advance in the group data server 6 (603), and when a validity period request for a group or a group list is received, the validity period of the group or group group is received. Notify all.
The router control server 1 that has received the validity period sets the group list in the user accommodation router (605), and sets the minimum value of the validity period notified from the group data server 6 to the group list timer.
[0034]
At this time, there is no order between the group list setting for the user accommodating router and the validity period request for the group data server 6, and the router control server 1 may perform them simultaneously. In this case, the router control server 1 activates the group list timer only when there is a normal group list setting response (606) and a normal valid period response (607).
The operation after the activation of the group timer list is the same as that of the first embodiment shown in FIG.
[0035]
(Example 4)
A fourth embodiment of the present invention will be described with reference to the operation example diagram of FIG.
The operation up to the start of the group list timer is the same as the operation of the third embodiment shown in FIG. However, the group list timer 11 activates a separate group timer 11 for each group or group having the same validity period in the group list 12 set in the user accommodation router 2.
For example, assume that the group list includes two groups, Group A and Group B. However, the number of groups is for clarifying the description of the present invention, and the number of groups does not limit the present invention. When the valid period (703) of the group A is different from the valid period (707) of the group B, the group list timer activates two timers for the group A and the group B (702).
[0036]
When the timer of the group A times out (705), the router control server 1 transmits a deletion message of the group A indicating the user accommodation position to the user accommodation router 2.
The user accommodation router 2 that has received the deletion message of the group A deletes the group A from the group list set at the user accommodation position, and stops the distribution if the group A is being distributed. The deletion completion is responded (706).
[0037]
Further, when the timer of the group B times out (708), the router control server 1 transmits a deletion message of the group B indicating the user accommodation position to the user accommodation router 2.
The user accommodation router 2 that has received the group B deletion message deletes the group B from the group list set at the user accommodation position, that is, deletes the group list itself, and stops the distribution if the group B is being distributed. Then, it responds that the deletion has been completed to the router control 1 (709).
[0038]
(Example 5)
Fifth Embodiment A fifth embodiment of the present invention will be described with reference to FIG. 8 showing an example of the group list timer configuration and FIG.
An example of the configuration of the group list timer when the group list timer is managed for each user identifier is shown in Configuration Example 1 of FIG. 8 shows a configuration example of the group list timer when the group list timer is managed for each user identifier and for each group or each group of groups. However, the user identifier is indicated by a numeral for clarity of explanation, but the display method of the user identifier is not limited to the present invention, and an arbitrary combination of characters and numerals can be used. Further, although the group list timer is shown in units of time, the present invention is not limited to this, and any unit such as seconds or minutes can be used.
[0039]
Next, a fifth embodiment of the present invention will be described with reference to FIG.
The operation up to the group list setting is the same as the operation of the first embodiment shown in FIG. 2 or the third embodiment shown in FIG.
The router control server 1 that has set the group list activates the group list timer (901), and transmits to the authentication server 3 a group list setting completion specifying the validity period.
The authentication server 3 transmitting the authentication permission to the client terminal 5 specifies the validity period (902) notified from the router control server 1 in the authentication permission.
The client terminal 5 notified of the validity period transmits an authentication request to the authentication server 3 after a time shorter than the validity period.
[0040]
When the authentication server 3 receives the authentication request from the client terminal 5, when the authentication is permitted, the authentication server 3 transmits the authentication permission specifying the user identifier to the router control server 1 (905).
The router control server 1 having received the authentication permission from the authentication server 3 (907) updates the group list timer if the group list timer of the user identifier is operating (906), and specifies the validity period (903). The group list setting completion is transmitted to the authentication server 3.
[0041]
The authentication server 3 transmitting the authentication permission to the client terminal 5 specifies the validity period notified from the router control server 1 in the authentication permission.
Alternatively, if the client terminal 5 does not make an authentication request, the group list timer is not updated in the router control server 1, the group list is deleted by the operation of the first embodiment, and the multicast distribution to the user is stopped. I do.
[0042]
(Example 6)
A sixth embodiment of the present invention will be described with reference to an operation example diagram of FIG. The configuration example of the group list timer is the same as the configuration example 2 of FIG.
The operation up to the group list setting is the same as the operation of the third embodiment shown in FIG.
[0043]
The router control server 1 that has set the group list activates a group list timer for each group or group group (1001), and transmits to the authentication server 3 a group list setting completion that specifies the group or group group and the validity period.
The authentication server 3 transmitting the authentication permission to the client terminal 5 specifies the validity period (1002) for each group or each group group notified from the router control server 1 in the authentication permission.
The client terminal 5 notified of the validity period transmits an authentication request specifying the group or the group of groups to the authentication server after a time shorter than the validity period. At this time, the client terminal 5 may transmit the authentication request for each group or each group of groups, or may specify a plurality of groups or groups of groups in one authentication request and make the authentication request collectively.
[0044]
When the authentication server 3 receives the authentication request from the client terminal 5 and permits the authentication (1004), the authentication server 3 sends the router control server 1 an authentication permission specifying the user identifier and the group or the group of groups.
The router control server 1 that has received the authentication permission from the authentication server 3 updates the group list timer if the relevant group list timer is operating (1005), and specifies the validity period for each group or each group of groups. The list setting completion is transmitted to the authentication server 3.
The authentication server 3 that transmits the authentication permission to the client terminal 5 specifies the validity period for each group or each group group notified from the router control server 1 in the authentication permission.
[0045]
This operation is repeated until the group list is deleted.
Alternatively, if the client terminal 5 does not make an authentication request, the router control server 1 does not update the group list timer, the group is deleted from the group list by the operation of the third embodiment, and the group Multicast distribution stops.
[0046]
(Example 7)
A seventh embodiment of the present invention will be described with reference to an operation example of FIG. 11 and an operation example of FIG.
The operation of the seventh embodiment of the present invention is the same as the operation of the first embodiment in FIG. 2 or the operation of the third embodiment in FIG. 6 until the group list timer times out.
First, an operation when the group list is continued will be described using an operation example of FIG.
[0047]
If the group list timer times out (1104), the router control server 1 activates the group list holding timer (1105) and transmits a distribution continuation confirmation to the user client terminal 5. Even if the router control server 1 directly transmits the distribution continuation confirmation, it sends a notice of expiration of the validity period to the user accommodation router 2 or the authentication server 3, and the user accommodation router 2 or the authentication server 3 receiving the expiration of the validity period transmits the client terminal. 5, a continuation confirmation may be transmitted.
At this time, the user identifier is specified in the distribution continuation confirmation notification and the expiration notification, and when the group list timer operates for each group or each group, the group or the group of groups that has timed out is specified.
[0048]
The client terminal 5 that has received the distribution continuation confirmation transmits an authentication request to the authentication server 3 when wishing to continue the distribution. Further, the client terminal 5 may specify the group or the group of groups in the authentication request.
When the authentication server 3 receives the authentication request from the client terminal 5 and authenticates, the authentication server 3 notifies the router control server 1 of the authentication permission provided with the user identifier (1106). When the group or the group of groups is specified in the authentication request, the authentication server 3 specifies the group or the group of groups permitted to be authenticated in the authentication permission notification.
[0049]
If the router control server 1 receives the authentication permission of the user related to the timeout before the timeout of the group list suspension timer, the router control server 1 releases the group list suspension timer (1107) and restarts the group list timer (1108). .
At this time, if the group list timer operates for each group or each group, and the group or group is specified in the authentication permission, only the timer of the group or group is restarted.
[0050]
Next, the operation when deleting the group list or when deleting the group from the group list will be described with reference to the operation example FIG. 2 of FIG.
Until the transmission continuation confirmation is transmitted to the client terminal 5, it is the same as the operation example 1 of FIG.
[0051]
When the router control server 1 does not receive the authentication permission for the client terminal 5 that has transmitted the distribution continuation confirmation and the group list hold timer times out (1206), it deletes the time-out group list from the user accommodation router 2 (1207). If the multicast distribution is being performed to the client terminal 5, the distribution is stopped. Alternatively, when the group list timer operates for each group or group group, the group or group group that has timed out is deleted from the group list, and if the deletion target group is being multicast-distributed to the client terminal 5, The distribution is stopped (1208).
[0052]
In the above embodiment, a program for performing the processing may be stored as application software in a recording medium such as a CD-ROM. By doing so, it becomes possible to store and sell the program or the like on a portable recording medium such as a CD-ROM or to carry the program or the like.
[0053]
【The invention's effect】
According to the present invention, it is possible to authenticate whether or not a contract has been made in IP multicast, that is, whether or not it is acceptable to receive. Also, the management of the group list can be led by the IP network side. In addition, since authentication is performed at high speed, frequent connection switching such as television viewing can be supported.
[Brief description of the drawings]
FIG. 1 is an apparatus connection configuration diagram according to a first embodiment of the present invention.
FIG. 2 is an operation example diagram of Embodiment 1 of the present invention.
FIG. 3 is an operation example diagram of Embodiment 2 of the present invention.
FIG. 4 is a device connection configuration diagram according to a third embodiment of the present invention.
FIG. 5 is a configuration diagram of a group data table according to a third embodiment of the present invention.
FIG. 6 is an operation example diagram of Embodiment 3 of the present invention.
FIG. 7 is an operation example diagram of Embodiment 4 of the present invention.
FIG. 8 is a diagram illustrating a configuration example of a group list timer according to a fifth embodiment of the present invention.
FIG. 9 is an operation example diagram of Embodiment 5 of the present invention.
FIG. 10 is an operation example diagram of Embodiment 6 of the present invention.
FIG. 11 is an operation example diagram 1 of Embodiment 7 of the present invention.
FIG. 12 is an operation example diagram 2 of Embodiment 7 of the present invention.
FIG. 13 is an apparatus connection configuration diagram of a conventional IP multicast authentication method.
FIG. 14 is an operation example diagram of a conventional authentication method for IP multicast.
[Explanation of symbols]
1 router control server
2 Router for accommodating users
3 Authentication server
4 Customer data server
5 client terminals
11 Group list timer
12 Group list table
13, 41 Customer data table
14 Group data table

Claims (12)

IPネットワークにおけるIPマルチキャスト用認証方法において、
IPネットワークにおけるユーザ認証手段と、ユーザ識別子、ユーザ端末が受信可能なグループアドレスのあるグループリスト、およびユーザの収容位置を記録しておくユーザデータ管理手段と、ユーザ収容ルータとに直接あるいは通信により遠隔に接続されたルータ制御手段は、該グループリストの有効期限を監視するグループリストタイマを該グループリスト毎に備え、該ユーザ収容ルータに該グループリストを設定する時に、予め定めた有効期間にて該グループリリストタイマを起動し、該グループリストタイマが該有効期間を経過したなら、該ユーザ収容ルータの該グループリストを削除し、該ユーザにマルチキャスト配信中であれば停止する
ことを特徴とするIPマルチキャスト用認証方法。In an authentication method for IP multicast in an IP network,
A user authentication unit in an IP network, a user data management unit for recording a user identifier, a group list having a group address receivable by a user terminal, and a user accommodation position; The router control means connected to the router is provided with a group list timer for monitoring the expiration date of the group list for each of the group lists, and when setting the group list in the user accommodating router, the Activating a group list timer, deleting the group list of the router accommodating the user if the validity period of the group list timer has elapsed, and stopping the group list if multicast distribution is being performed to the user; Authentication method for multicast. 請求項1に記載のIPマルチキャスト用認証方法において、
ユーザ毎に予め有効期間を定めておき、
前記ユーザデータ管理手段は、前記ユーザ識別子と該ユーザ識別子に対する有効期間を登録しておき、
前記ルータ制御手段は、該ユーザデータ管理手段からグループリストを取得するときに、同時に該ユーザ毎の有効期間も取得し、該グループリストの有効期限を監視するグループリストタイマに該有効期間を設定する
ことを特徴とするIPマルチキャスト用認証方法。The authentication method for IP multicast according to claim 1,
The validity period is determined in advance for each user,
The user data management means registers the user identifier and a validity period for the user identifier,
When the router control means obtains a group list from the user data management means, the router control means also obtains a validity period for each user at the same time, and sets the validity period in a group list timer for monitoring the validity period of the group list. An authentication method for IP multicast, comprising: 請求項1、または請求項2のいずれかに記載のIPマルチキャスト用認証方法において、
前記IPネットワークは、グループ毎あるいはグループ群毎の有効期間を登録しておき、かつ前記ルータ制御手段に直接あるいは通信により遠隔に接続されたグループ管理手段を有し、
該IPネットワークは、予めグループ毎あるいはグループ群毎の有効期間を定めて、該グループ管理手段に登録しておき、
前記ルータ制御手段は、前記グループリストタイマを起動する際に、該グループ管理手段から設定する前記グループリストに含まれる全グループの有効期間を取得し、取得した有効期間のうち最小値を該グループリストタイマに設定する
ことを特徴とするIPマルチキャスト用認証方法。In the authentication method for IP multicast according to any one of claims 1 and 2,
The IP network has a group management unit that registers a validity period for each group or group group, and is connected to the router control unit directly or remotely by communication,
The IP network defines a validity period for each group or each group in advance, and registers the validity period in the group management means.
The router control means, when activating the group list timer, acquires the validity periods of all the groups included in the group list set by the group management means, and sets the minimum value of the acquired validity periods to the group list. An authentication method for IP multicast, which is set in a timer. 請求項3に記載のIPマルチキャスト用認証方法において、
前記ルータ制御手段は、前記グループリストタイマを起動する際に、設定するグループリストに含まれる全グループの有効期間を取得し、該グループリスト毎ではなく、該有効期間が同一のグループ毎あるいはグループ群毎に別々のグループタイマを起動し、いずれのグループリストタイマが該有効期間を経過したなら、該グループリストから該有効期間を経過したグループあるいはグループ群のみを削除し、ユーザ端末に対し、該有効期間を経過したグループあるいはグループ群がマルチキャスト配信中であれば停止する
ことを特徴とするIPマルチキャスト用認証方法。The authentication method for IP multicast according to claim 3,
The router control means, when activating the group list timer, acquires the validity periods of all the groups included in the group list to be set, and not for each group list, but for each group or group group having the same validity period. Activate a separate group timer for each, and if any group list timer has expired the validity period, delete only the group or group group whose validity period has expired from the group list. An authentication method for IP multicast, wherein if a group or a group of groups whose period has elapsed is being multicast-distributed, the operation is stopped. 請求項1、請求項2、あるいは請求項3のいずれかに記載のIPマルチキャスト用認証方法において、
前記ルータ制御手段は、前記グループタイマリストを前記ユーザ識別子毎に管理し、認証許可時にグループの有効期間をユーザに通知し、認証許可を受信したら、該ユーザ端末に対応した該グループリストタイマが動作中であれば、該ユーザの該グループリストタイマを更新し、
前記ユーザ端末は、通知された有効期間より短い時間内に、認証要求を前記ユーザ認証手段に送信し、
該ユーザ認証手段は、認証許可した場合、認証許可したユーザ識別子を明記した認証許可通知を該ルータ制御手段に送信する
ことを特徴とするIPマルチキャスト用認証方法。In the authentication method for IP multicast according to any one of claims 1, 2, and 3,
The router control means manages the group timer list for each user identifier, notifies a user of the validity period of a group when authentication is permitted, and operates the group list timer corresponding to the user terminal when receiving authentication permission. If it is, update the group list timer of the user,
The user terminal transmits an authentication request to the user authentication unit within a time shorter than the notified validity period,
The authentication method for IP multicast, wherein, when the authentication is permitted, the user authentication means transmits an authentication permission notice specifying the user identifier of the permitted authentication to the router control means. 請求項4に記載のIPマルチキャスト認証方法において、
前記ルータ制御手段は、前記グループリストタイマをユーザ識別子毎かつグループ毎あるいはグループ群毎に管理し、認証許可時にグループアドレスとグループの有効期間の全組み合わせをユーザ端末に通知し、認証許可通知されたグループあるいはグループ群のグループタイマリストが動作中であれば、該グループリストタイマを更新し、
該ユーザ端末は、各グループあるいは各グループ群の有効期間より短い時間内に、認証を要求するグループあるいはグループ群を明記した認証要求をユーザ認証手段に送信し、
該ユーザ認証手段は、認証許可した場合、認証許可したユーザ識別子とグループアドレスあるいはグループアドレス群を該ルータ制御手段に対し送信する
ことを特徴とするIPマルチキャスト用認証方法。The IP multicast authentication method according to claim 4,
The router control means manages the group list timer for each user identifier and for each group or group, notifies the user terminal of all combinations of the group address and the validity period of the group when authentication is permitted, and is notified of the authentication permission. If the group timer list of the group or group is running, update the group list timer,
The user terminal transmits, to the user authentication unit, an authentication request specifying a group or a group of groups requesting authentication within a time shorter than a validity period of each group or each group of groups.
The authentication method for IP multicast, wherein, when the authentication is permitted, the user authentication means transmits a user identifier and a group address or a group address group for which the authentication is permitted to the router control means. 請求項1、請求項2、請求項3、あるいは請求項4のいずれかに記載のIPマルチキャスト認証方法において、
前記ルータ制御手段は、前記グループリストタイマに加えて、グループリストタイマ毎にグループリスト保留タイマと、前記ユーザ収容ルータを経由して、あるいは、前記ユーザ認証手段を経由して、ユーザに配信継続確認する手段とを有し、
該ルータ制御手段は、該グループタイマリストがタイムアウトしたなら、ただちには前記グループリストを削除せず、予め定めた時間を設定した該グループリスト保留タイマを起動し、直接、あるいは認証サーバを経由して、あるいは該ユーザ収容ルータを経由して、該グループリストの対象であるユーザに対し配信継続確認を送信し、配信継続確認を受信したユーザ端末は、マルチキャスト配信継続を希望する場合には、該ユーザ認証手段に認証要求し、認証許可を通知された時に、継続確認したユーザであれば、該ユーザの該グループリストタイマを起動し、該グループリスト保留タイマがタイムアウトしたら、タイムアウトした該グループリストを削除する、あるいは、該グループリストからタイムアウトしたグループあるいはグループ群を削除し、
該ユーザ認証手段は、認証許可した時に、該ルータ制御手段に対し該ユーザの認証許可を通知する
ことを特徴とするIPマルチキャスト用認証方法。In the IP multicast authentication method according to any one of claims 1, 2, 3, and 4,
The router control means includes, in addition to the group list timer, a group list hold timer for each group list timer, and a continuation confirmation of distribution to a user via the user accommodating router or via the user authentication means. Means to do,
If the group timer list has timed out, the router control means does not immediately delete the group list, activates the group list holding timer for which a predetermined time is set, and directly or via the authentication server. Or, via the user accommodation router, a distribution continuation confirmation is transmitted to the user who is the target of the group list, and the user terminal that has received the distribution continuation confirmation requests the user If the user requests the authentication to the authentication means and is notified of the authentication permission, the user confirms the continuation, starts the group list timer of the user, and deletes the time-out group list if the group list hold timer times out. Group or group that has timed out from the group list. Remove the group,
The authentication method for IP multicast, wherein the user authentication means notifies the router control means of the authentication permission of the user when the authentication is permitted. IPマルチキャスト用認証システムにおいて、
ユーザ認証手段を備えるユーザ認証サーバと、ユーザデータ管理手段を備える顧客データサーバと、ルータ制御手段を備えるルータ制御サーバと、ユーザ収容ルータと、必要であれば、グループ管理手段を備えるグループ管理サーバとを有し、
該ルータ制御サーバは、ユーザが受信可能なグループアドレスのあるグループリストの有効期限を監視するグループリストタイマを用いて、該グループリストの有効期間を監視し、該グループリストの有効期間が終了したら、該ユーザ収容ルータに設定した該グループリストを削除し、および、ユーザの配信継続を監視し、該グループタイマリストを更新する
ことを特徴とするIPマルチキャスト用認証システム。In the authentication system for IP multicast,
A user authentication server having user authentication means, a customer data server having user data management means, a router control server having router control means, a user accommodation router, and, if necessary, a group management server having group management means. Has,
The router control server monitors the validity period of the group list using a group list timer that monitors the validity period of a group list having a group address that can be received by the user, and when the validity period of the group list ends, An authentication system for IP multicast, wherein the group list set in the user accommodation router is deleted, the distribution of users is monitored, and the group timer list is updated. ユーザ認証サーバに、マルチキャスト配信に先立って、ユーザを認証し、認証許可した場合、ルータ制御手段に認証許可を通知する手順を実行させるための認証用プログラム。An authentication program for causing a user authentication server to execute a procedure of authenticating a user prior to multicast distribution and notifying the router control means of the authentication permission when the authentication is permitted. ルータ制御サーバに、ユーザ認証手段が許可したユーザのグループリストをユーザデータ管理手段から読み出し、ユーザ収容ルータのユーザの収容位置に対して該グループリストを設定する手順と、該グループリストの有効期限を監視するグループリストタイマを該グループリスト毎に備え、該ユーザ収容ルータに該グループリストを設定する時に、予め定めた時間つまり有効期間にて、該グループリリストタイマを起動し、該グループリストタイマが該有効期間を経過したなら、該ユーザ収容ルータの該グループリストを削除し、該ユーザにマルチキャスト配信中であれば停止する手順と、ユーザデータ管理手段から該グループリストを取得するときに、同時にユーザ毎の有効期間も取得し、グループリストの有効期限を監視するグループリストタイマに該有効期間を設定する手順と、該グループリストタイマを起動する際に、グループ管理手段から設定するグループリストに含まれる全グループの有効期間を取得し、取得した該有効期間のうち最小値を該グループリストタイマに設定する手順と、該グループリストタイマを用いて、該グループリストの有効期間を監視し、該グループリストの有効期間が終了したら、該ユーザ収容ルータに設定した該グループリストを削除し、および、ユーザの配信継続を監視し、該グループタイマリストを更新する手順とを実行させるための認証用プログラム。The router control server reads the group list of the user permitted by the user authentication unit from the user data management unit, sets the group list for the accommodation position of the user of the user accommodation router, and sets the expiration date of the group list. A group list timer for monitoring is provided for each group list, and when the group list is set in the user accommodation router, the group list timer is started at a predetermined time, that is, a valid period, and the group list timer is activated. When the validity period has elapsed, the group list of the user accommodating router is deleted, and if multicast distribution is being performed to the user, the procedure is stopped. When the group list is obtained from the user data management means, Group that acquires the validity period of each group and monitors the validity period of the group list A procedure for setting the validity period in the strike timer, and, when activating the group list timer, acquiring validity periods of all the groups included in the group list set from the group management means; The group list timer, and using the group list timer to monitor the validity period of the group list. When the validity period of the group list ends, the group list set in the user accommodation router is deleted. And deleting the user and monitoring the continuation of the user's distribution and updating the group timer list. ユーザ収容ルータに、ユーザ端末からのマルチキャスト配信要求受信時に、該ユーザ端末が要求したグループアドレスが、ユーザのグループリストにあれば、該ユーザにマルチキャスト転送し、該ユーザ端末が要求したグループアドレスが、該ユーザのグループリストになければ、該ユーザにマルチキャスト転送しない手順を実行させるためのプログラム。If the group address requested by the user terminal is in the user's group list when the multicast distribution request is received from the user terminal, the multicast is forwarded to the user, and the group address requested by the user terminal is A program for causing the user to execute a procedure not to perform multicast transfer if the user is not in the group list of the user. 請求項9、請求項10、または請求項11のいずれかに記載の認証用プログラムを記録したコンピュータ読み取り可能な記録媒体。A computer-readable recording medium on which the authentication program according to claim 9 is recorded.
JP2003040870A 2003-02-19 2003-02-19 Authentication method for ip multicast and authentication system for ip multicast employing same, and program and recording medium therefor Pending JP2004253968A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003040870A JP2004253968A (en) 2003-02-19 2003-02-19 Authentication method for ip multicast and authentication system for ip multicast employing same, and program and recording medium therefor

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003040870A JP2004253968A (en) 2003-02-19 2003-02-19 Authentication method for ip multicast and authentication system for ip multicast employing same, and program and recording medium therefor

Publications (1)

Publication Number Publication Date
JP2004253968A true JP2004253968A (en) 2004-09-09

Family

ID=33024603

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003040870A Pending JP2004253968A (en) 2003-02-19 2003-02-19 Authentication method for ip multicast and authentication system for ip multicast employing same, and program and recording medium therefor

Country Status (1)

Country Link
JP (1) JP2004253968A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008034901A (en) * 2006-07-26 2008-02-14 Hitachi Ltd Multicast access control apparatus and method in ip multicast communication
JP2010258788A (en) * 2009-04-24 2010-11-11 Nippon Telegr & Teleph Corp <Ntt> Ip multicast distribution control system, ip multicast distribution control method, and program therefor

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008034901A (en) * 2006-07-26 2008-02-14 Hitachi Ltd Multicast access control apparatus and method in ip multicast communication
JP4706585B2 (en) * 2006-07-26 2011-06-22 株式会社日立製作所 Multicast access control apparatus and method in IP multicast communication
JP2010258788A (en) * 2009-04-24 2010-11-11 Nippon Telegr & Teleph Corp <Ntt> Ip multicast distribution control system, ip multicast distribution control method, and program therefor

Similar Documents

Publication Publication Date Title
JP4823717B2 (en) Encryption communication system, terminal state management server, encryption communication method, and terminal state management method
US8307455B2 (en) Decryption-key distribution method and authentication apparatus
US6859527B1 (en) Communications arrangement and method using service system to facilitate the establishment of end-to-end communication over a network
CN109327467B (en) Management method of RSSP-II secure communication protocol key management mechanism
EP2717540B1 (en) Method, apparatus, and system for transmitting media data based on over the top (ott)
CN102104592B (en) Session migration between network policy servers
CN107580046B (en) Long connection service system and method
US6275859B1 (en) Tree-based reliable multicast system where sessions are established by repair nodes that authenticate receiver nodes presenting participation certificates granted by a central authority
US20150074408A1 (en) System and method for centralized key distribution
US20020041605A1 (en) Communication initiation method employing an authorisation server
US20070186273A1 (en) Method and system for managing access authorization for a user in a local administrative domain when the user connects to an ip network
US20010044898A1 (en) Configurable connectivity unit and method and system for configuring such a unit
EP3654619B1 (en) A dynamic content distribution protocol for an enterprise environment
KR20060084717A (en) Device authentication method and system in home network
WO2007045189A1 (en) A method and system for service trace and service trace terminal, network element
JP2011160210A (en) Communication terminal and communication system
JP2008072180A (en) Managing method for information and information processor
US20160269382A1 (en) Secure Distribution of Non-Privileged Authentication Credentials
US9143482B1 (en) Tokenized authentication across wireless communication networks
KR20100057369A (en) Downloadable conditional access system and method of session control for secured 2-way communication between authentication server and host device in the downloadable conditional access system
JP3863441B2 (en) Authentication access control server device, authentication access control method, authentication access control program, and computer-readable recording medium recording the program
WO2004107645A1 (en) A method of updating share key
WO2010069220A1 (en) Method and device of video monitoring
JP2009118267A (en) Communication network system, communication network control method, communication control apparatus, communication control program, service control device and service control program
US20230300213A1 (en) Information transmission method and communication device